Clarísimo como el café de la cafetería interna del hospital donde trabajo. De hecho mi duda es que si deniega en HTTP pero no por HTTPS y otra cosa es que cuando reviso el log de squid no se refleja la url completa cuando es por HTTPS solo me pone por ejemplo https://www.google.com:443 con lo cual deduzco que debe estar el fallo.
Mientras no aparezca la indicada, goza con la equivocada. Salu2 -----Mensaje original----- De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En nombre de låzaro Enviado el: miércoles, 10 de diciembre de 2014 09:29 a.m. Para: Lista cubana de soporte técnico en Tecnologias Libres Asunto: Re: [Gutl-l] Denegar acceso en squid3 a sitios con palabras sospechosas no funciona correctamente las palabras estan incluidas solo en la URL. Te queda claro verdad? Thread name: "[Gutl-l] Denegar acceso en squid3 a sitios con palabras sospechosas no funciona correctamente" Mail number: 1 Date: Tue, Dec 09, 2014 In reply to: ERNESTO TUR LAURENCIO > > Hola lista: > En la tarde de hoy me doy cuenta que mi configuración de squid3 > permite que los usuarios autenticados puedan hacer búsquedas en San > Google y entrar a los sitios donde están estas palabras. Verifico la > regla acl que es para eso y curiosamente solo funciona con los sitios > por HTTP y no por HTTPS, aquí mi configuración. > > ### /etc/squid3/squid.conf > #Puerto de escucha > # Default: http_port 3128 > http_port 3128 > > #NOMBRE DEL SERVIDOR PROXY > visible_hostname proxy.hgdan.gtm.sld.cu > > #Proxy padre de mi red > cache_peer proxy.sld.cu parent 3128 3130 default cache_peer_domain > proxy.sld.cu !.sld.cu nonhierarchical_direct off > > # Parametros para la autenticacion de usuarios auth_param basic > children 8 auth_param basic realm Squid proxy-caching web server > auth_param basic credentialsttl 2 hours auth_param basic casesensitive > off auth_param basic program /usr/lib/squid3/ncsa_auth > /etc/squid3/squid-user.txt > > #Memoria de Cache > cache_mem 300 MB > > #Espacio de Disco Utilizado para la Cache cache_dir ufs > /var/spool/squid3 1024 16 256 > > #Logs > access_log /var/log/squid3/access.log > cache_log /var/log/squid3/cache.log > cache_store_log /var/log/squid3/store.log > > #Acceso a coneciones que usen el metodo CONNECT en vez del POST o GET > acl purge method PURGE acl CONNECT method CONNECT > > #Lista de Acceso por puertos > acl Safe_ports port 80 21 443 465 995 53 563 70 210 1025-65535 980 110 > 25 > 280 488 591 777 631 873 901 5222 104 > > #El propio servidor > acl manager proto cache_object > acl localhost src 127.0.0.1/32 > > # Horario de trabajo > acl horario_trabajo time MTWHF 8:00-16:00 > > # Dominios de redes sociales > acl redes_sociales dstdomain "/etc/squid3/newsites/redessociales.txt" > > # Red local del HGDAN > acl interna src 192.168.1.0/24 > > # ACL para que pida autenticarse contra el proxy acl password > proxy_auth REQUIRED > > # Dominios basicos > acl dd_salud dstdomain .sld.cu > acl dd_cuba dstdomain "/etc/squid3/newsites/dominios_cu.txt" > > # Google Cuba > acl googlescholar url_regex http://scholar.google.com.cu > > # Sitios autorizados en infoMED > # Listas sincronizadas con proxyenlaces.sld.cu + Los esenciales acl > dd_esenciales dstdomain "/etc/squid3/newsites/esenciales.txt" > acl dd_dominios dstdomain "/etc/squid3/newsites/dominios.txt" > acl dd_otros_dominios dstdomain "/etc/squid3/newsites/otros_dominios.txt" > > acl dd_sitios url_regex -i "/etc/squid3/newsites/sitios.txt" > acl dd_parciales url_regex -i "/etc/squid3/newsites/parciales.txt" > acl dd_otros_sitios url_regex -i "/etc/squid3/newsites/otros_sitios.txt" > > # Dominios denegados a navegar para todos acl dominio_off dstdomain > "/etc/squid3/newsites/dominios_off.txt" > > # Sitios denegados a navegar para todos acl sites_off url_regex -i > "/etc/squid3/newsites/sitios_off.txt" > > # Definiendo MACs de las PC con Internet acl macs_internet arp > "/etc/squid3/macs-internet.txt" > > # Definiendo MACs de las PC sin navegación acl macs_bloqueadas arp > "/etc/squid3/macs-bloqueadas.txt" > > # Definiendo palabras fulas > acl palabras url_regex -i "/etc/squid3/newsites/palabras.txt" > > # Denegamos el uso de puertos no permitidos http_access deny > !Safe_ports > > # Denegamos que entren a las redes sociales en el horario de trabajo > http_access deny redes_sociales horario_trabajo > > # Denegamos dominios no permitidos > http_access deny dominio_off > > # Denegamos sitios no permitidos > http_access deny macs_bloqueadas > > # Denegar todas las peticiones que contengan las palabras fulas > http_access deny palabras http_access deny CONNECT palabras > > #Acceso para sin full a sitios permitidos x infoMED http_access allow > googlescholar http_access allow interna dd_salud http_access allow > interna dd_cuba http_access allow interna dd_esenciales > > # Acceso para sin full a sitios permitidos x infoMED http_access allow > interna dd_dominios http_access allow interna dd_sitios http_access > allow interna dd_parciales > > http_access allow interna dd_otros_dominios http_access allow interna > dd_otros_sitios > > # Permitiendo conexiones seguras a dominio y sitios http_access allow > interna CONNECT dd_salud http_access allow interna CONNECT > dd_otros_sitios > > # Todo lo demas debe ser autenticado porque es salida a INTERNET > http_access allow macs_internet password > > # Por ultimo aplicamos la regla por defecto que es # denegar todo lo > no autorizado http_access deny all > > # And finally allow by default > http_reply_access allow all > > #Allow ICP queries from local networks only icp_access allow all > > #Usuario FTP anonimo > ftp_user pr...@hgdan.gtm.sld.cu > ftp_list_width 32 > ftp_passive on > ftp_sanitycheck on > ftp_telnet_protocol on > > #LENGUAJES DE ERRORES > error_directory /usr/share/squid3/errors/Spanish > > #DIRECCION DE ACCESO DENEGADO A SITIOS deny_info > http://www.hgdan.gtm.sld.cu all > > #Control de Ancho de Banda > acl servidores src 192.168.1.2-192.168.1.10 acl reservados src > 192.168.1.11-192.168.1.19 acl workstation src > 192.168.1.20-192.168.1.254 > > delay_pools 3 > delay_class 1 1 > delay_class 2 1 > delay_class 3 2 > delay_access 1 allow servidores > delay_access 1 deny all > delay_access 2 allow reservados > delay_access 2 deny all > delay_access 3 allow workstation > delay_access 3 deny all > delay_parameters 1 80000/80000 > delay_parameters 2 100000/100000 > delay_parameters 3 80000/80000 30000/30000 > > cache_mgr r...@hgdan.gtm.sld.cu > > #OPCIONES DE REFRESCO > refresh_pattern ^ftp: 1440 20% 10080 > refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i > (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Package(.gz)*)$ 0 20% > 2880 refresh_pattern . 0 20% 4320 ## end of file > > ### /etc/squid3/newsites/palabras.txt > sexy > porn > playboy > hustler > hentai > ### Lista muy larga y solo es un muestreo. > ## end of file > > > > Mientras no aparezca la indicada, goza con la equivocada. > > Salu2 > > > > -- > Este mensaje le ha llegado mediante el servicio de correo electronico > que ofrece Infomed para respaldar el cumplimiento de las misiones del > Sistema Nacional de Salud. La persona que envia este correo asume el > compromiso de usar el servicio a tales fines y cumplir con las > regulaciones establecidas > > Infomed: http://www.sld.cu/ > > > -- > Este mensaje ha sido analizado por MailScanner en busca de virus y > otros contenidos peligrosos, y se considera que está limpio. > > ______________________________________________________________________ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. A continuación, la firma de una herramienta inútil: -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est limpio. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est� limpio.
______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
